Center for Internet Security(CIS)は、重要なセキュリティ概念を実践的なコントロールに抽出することで既知の攻撃に対する組織の防衛力を高め、全体的なサイバーセキュリティの向上に役立つCIS关键安全控制系统(CSC)并公开发表。。
随着安全问题的发展,最佳实践也在发展。。在安全行业,CIS通过有效的网络防御关键安全控制(前称SANS前20关键安全控制)提出了最新和具体的建议在帮助企业提高各自的安全意识这一点上得到了高度评价。。
全体的なセキュリティの向上を目的とした標準およびコンプライアンス規制の多くは業界特有のもので焦点が狭い場合がありますが、現在バージョン7となり7回の更新を経ているCIS CSCは、数多くの政府機関および業界リーダーの専門家が業界にとらわれず汎用的に適用できるよう作成したものです。
また、CIS基准那么,通常情况下,资源是有限的,必须设定优先级,这是组织所面临的现实。。因此,在CIS中,不论行业类型,都将控制分为基础、基础、组织三类。。这个标准的优先顺序正是CIS CSC推荐事项与其他安全控制和列表的不同之处。。在其他的控制和列表中,有时也会提到优先顺序,但这并不是具体的推荐事项。。
每个控件的范围都很广泛,但它基于一个坚定的原则:确保合适的用户能够接触到合适的资产,并将所有的系统保持在最新且尽可能坚固的状态。。根据CIS指导,即使组织能实施的控制只有这些,这六个控制也会有很好的好处。。
前20名CIS关键安全控制,所有作用都是全面的。。当我们考虑坚固的网络安全防御所需要的东西时,安全绝不仅仅是技术问题,CIS推荐的只是数据、软件和硬件。也包括人、过程。。例如,事故应对小组和红队双方都是所有坚固的主动防御计划的重要组成部分,在CIS控制19和20中分别提到。
CIS关键安全控制合规与安全标准或者相互兼容,或者直接相对。。そうした基準には、NIST 800-53やPCI DSS、FISMA、HIPAAなど業界特有のものも含まれており、それらに従わなければならない組織は、コンプライアンスの補助にCISコントロールを利用できます。加えて、NISTサイバーセキュリティフレームワークは、組織のセキュリティ姿勢の整合化および強化のためによく採用される堅牢なツールで、推奨されるベストプラクティスの多くについてCIS CSCをベースラインとして利用しています。
对于旨在提高安全态度并加强防御最可能遭遇的攻击矢量的组织来说,CIS关键安全控制降低了风险,并且大多数攻击这是缓解类型严重程度的一个很好的起点。。